CISA: slechte cyberhygiëne geeft aanvallers toegang tot clouddiensten
Aanvallers maken misbruik van de slechte cyberhygiëne van organisaties om toegang tot hun clouddiensten te krijgen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het federale agentschap voor cybersecurity is bekend met meerdere organisaties waarvan de cloudomgeving werd gecompromitteerd omdat de digitale beveiliging te wensen overliet.
In één geval maakte de aangevallen organisatie geen gebruik van een virtual private network (vpn) om medewerkers toegang tot het bedrijfsnetwerk te geven. De terminalserver van de organisatie bevond zich wel achter de firewall. Vanwege het thuiswerken was echter poort 80 opengezet om de terminalserver voor medewerkers toegankelijk te maken. Aanvallers maakten hiervan misbruik en wisten door middel van een bruteforce-aanval toegang tot de server te krijgen.
Ook ziet het CISA nog altijd succesvolle phishingaanvallen tegen organisaties. De aanvallers sturen phishingmails die naar een bestandsopslagdienst lijken te wijzen. In werkelijkheid gaat het om een phishingsite. De gegevens die slachtoffers daar invoeren worden vervolgens gebruikt om hun accounts over te nemen. Vanuit deze accounts sturen de aanvallers phishingmails naar andere personen in de aangevallen organisatie.
Aanvallers wijzigen in gecompromitteerde e-mailaccounts ook bestaande doorstuurregels die gebruikers hadden ingesteld om e-mail van bepaalde afzenders naar hun persoonlijke account door te sturen. De aangepaste regel stuurt vervolgens deze e-mails door naar een e-mailadres van de aanvaller. Verder heeft het CISA ook aanvallen gezien waarbij de multifactorauthenticatie werd omzeild. Hierbij zouden de aanvallers browsercookies hebben gestolen om door middel van een "pass-the-cookie" aanval de multifactorauthenticatie te omzeilen.
"Dit soort aanvallen doen zich geregeld voor wanneer het personeel van getroffen organisaties thuiswerkt en een combinatie van bedrijfslaptops en persoonlijke apparaten gebruikt om de respectievelijke clouddiensten te benaderen. Ondanks het gebruik van securitytools was er bij de getroffen organisaties meestal sprake van een slechte cyberhygiëne waardoor aanvallers succesvol konden toeslaan", aldus het CISA.
De webinterface van een terminal server kan draaien op poort 80.
Men slaat, zoals anoniem van 11:41 aangeeft, al helemaal door.
Gewoon een kwestie van geen goede connectie-beveiliging, downgrade aanvallen mogelijk en dergelijke zaken.
Onvoldoende header security, sri, en andere veiligheidsmaatregelen,
vanwege "voor een dubbeltje op de eerste rang willen zitten of opzettelijke onophoudelijke "security through obscurity".
Die de besluiten nemen hebben er geen verstand van meestal en degenen, die er verstand van hebben,
tellen vrijwel niet mee.
Ik word hier zo moe van, dat die pn*wed toestand maar aanhoudt en er nooit bij wordt verteld,
dat het vaak opzettelijk wordt gedaan.
Corruptie en dit gepland en wel top-down of er moet sprake zijn van grenzeloze incompetentie
(kan ook weer opzettelijk zijn).
Cyberhygiene gaat je niet helpen binnen een bijkans open main stream cyberwar.
Er verandert namelijk niets in het algemene veiligheidsbeeld op de Interwebz infrastructuur.
Dat moet je te denken geven. Zij weten alles en wij horen slechts iets op "need to know" basis.
Ken er voldoende feiten voor.
luntrus
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.